як обмежити вхідний трафік

[Volodymyrko]

Допоможіть правильно обмежити вхідний трафік  
ситуація така..
є сервер linux на одному інтерфейсі є клієнти ...  ходять в нет вони через сквід + НАТ ... якщо трафік до них  нема проблем обмежити (htb) то поки що не знайшов правильного рішення як обмежити трафік що йде від них в нет
так як їх вихідний трафік може  виходити через різні інтерфейси назовні .. тому трохи нецікаво робити
-s ip -j MARK --set-mark   + HTB  на кожному зовнішньому інтерфейсі ..
а тут ще сквід...  трафік на нього не маркується в такому випадку ...

експерементував з  tc ... ingress  але якось дивно воно поводиься .. і  поки я не зрозумів чи попадає воно для транзитного трафіку що йде через шлюз ..

пробував так:

Код: [Вибрати]

tc qdisc del dev $dev ingress 2>/dev/null
tc qdisc add dev $dev ingress
tc filter  add  dev $dev parent ffff: protocol ip prio 1 u32 match ip src  $ip  match ip dst  $dst police rate $upl  burst 200K drop flowid :1
це був транзинтий трафік ... так швидкість тут плавала в залежності від значення  burst в дуже широких межах ..!!!


в думках ще хіба пропуск всього трафіку черезщ якийсь віртуальний інтерфейс.. з htb на нім ...

[Praporshic]

так як їх вихідний трафік може  виходити через різні інтерфейси назовні .. тому трохи нецікаво робити
-s ip -j MARK --set-mark   + HTB  на кожному зовнішньому інтерфейсі ..

Не зовсім розумію навіщо тут маркувати (правила й так можна задати), але на зовнішніх інтерфейсах все одно доведеться налаштовувати.

а тут ще сквід...  трафік на нього не маркується в такому випадку ...

Тут можна (НМД - треба) скористатись його вбудованими delay pools.

[Volodymyrko]

Не зовсім розумію навіщо тут маркувати (правила й так можна задати), але на зовнішніх інтерфейсах все одно доведеться налаштовувати.

як нашо.. на зовнішньому інтерфейсі вони вже будуть за-NAT-чені !!!

 

ут можна (НМД - треба) скористатись його вбудованими delay pools.

не так.. мова йде про трафік від клієнта !!!! а не до нього.. ..!!!
хіба пули обмежуть трафік що аплоадиться ?? думаю шо ні ...

[Praporshic]

як нашо.. на зовнішньому інтерфейсі вони вже будуть за-NAT-чені !!!

Звички до великої кількості "білих" адрес до добра не доводять....

не так.. мова йде про трафік від клієнта !!!! а не до нього.. ..!!!
хіба пули обмежуть трафік що аплоадиться ?? думаю шо ні ...

Хм, останні повідомлення про те, що це було неможливо датовані 2005-м роком. Зараз вже може й працює, бо точно про це не написано з жодному з "офіційних" джерел.

P.S. І не треба стільки емоцій. Пожалійте клавіатуру.

[Volodymyrko]

Звички до великої кількості "білих" адрес до добра не доводять..

шось я не догнав: що таке "білі" адреси в цьому повідомлення

 повинен бути "повний  "доступ" в нет  з певних ІП !!!  і тут тільки НАТ ....

а про емоції:  їх не так там і багато .. просто вже дуже достала проблема коли хтось аплоадить і тим самим починає гальмувати  весь канал ..
і боротися з тим треба тільки на "сервері"  !!!

[Praporshic]

Тоді заганяємо все що йде від Squid`а у якийсь клас, що має низький пріоритет, а тому що має йти так - даємо більший, і усі раді. А ще можна заборонити upload з розміром більше ніж.....

[Volodymyrko]

ви напевно не до кінця  розумієте ситуацію...
за гроші людям роздається інтернет .. і тут не може бути якихось таких обмежень як "заборонити upload з розміром більше ніж" і  подібне.. що вони собі хочуть те і роблють !
має бути повністю повноцінний інтернет доступ у людей за винятком точно визначених індивідуальних обмежень на download i upload ...

і саме з обмеженням upload-у в мене виникають серйозні проблеми !!! про які я вище описав ...
і потрібна порада як вирішити ці проблеми ??

[Praporshic]

ви напевно не до кінця  розумієте ситуацію...

Як я її можу розуміти, коли про неї досі нічого не було відомо?

і потрібна порада як вирішити ці проблеми ??

Єдиний вихід - призначити трафіку від сквіда нижчий пріоритет та/або виділити йому відповідну обмежену швидкість.

[Volodymyrko]

Як я її можу розуміти, коли про неї досі нічого не було відомо?

описано ще з самого початку..

більш-менш зрозуміло ..

тоді ще таке питання хтось використовував tc .... ingress
якісь відгуки про неї може хтось сказати ??

[Praporshic]

описано ще з самого початку..

Описано дуже загально - не відомо що можна робити а чого ні.

[Volodymyrko]

спробую ще раз пояснити :

через локальну мережу (ethrnet) людям роздається повноцінний інтернет , тому на сервері для кожної ІП прописаний SNAT  ..
сервер linux OpenSuse-9.2, має кілька мережних інтерфейсів: один з них(eth) дивиться в ту саму локалку, інші eht<x>  чи ppp<x> є зовнішніми каналами в НЕТ...
також на сервері є проксі squid.. який використовується прописавши відповідно налаштування в браузері, або за допомогою DNAT весь трафік шо іде від клієнтів на 80-ий порт  завернуто на той самий проксі  ....

ПИТАННЯ: як правильно і гарно обмежити трафік що іде він клієнтів в інтернет (ftp,torrent,upload http і т.д.).   цей трафік складається з :  транзинтного (відносно серверу) трафіку   і  трафіку що іде на проксі ...
як приклад:   треба для  якогось <IP> обмежити upload до  128Kbit  

думаю детально

а шодо того "що можна робити, а що ні "  : а які варіанти є .. бо можна робити все  що треба в розумних межах для досягнення мети  ...

[Praporshic]

ПИТАННЯ: як правильно і гарно обмежити трафік що іде він клієнтів в інтернет (ftp,torrent,upload http і т.д.).   цей трафік складається з :  транзинтного (відносно серверу) трафіку   і  трафіку що іде на проксі ...
як приклад:   треба для  якогось <IP> обмежити upload до  128Kbit  

Зі Squid таке точно не вийде. Хіба що вдасться десь відшукати латку, що реалізує потрібний функціонал. Або якщо це реалізували у 3-й версії та "забули" додати у Changelog, бо у ньому я такого не знайшов.

а шодо того "що можна робити, а що ні "  : а які варіанти є .. бо можна робити все  що треба в розумних межах для досягнення мети  ...

От в тому то й проблема - у розумних межах нічого не лишилося. Звісно, виходом було б понизити швидкість для трафіку що йде на squid від відповідного клієнта, але щось ніяк не приходить в голову як це нормально зробити, бо робити DROP частині трафіку - це з серії BOFH.